Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 132 reacties, 43.349 views •

Een beveiligingsonderzoeker heeft een zero day-beveiligingsprobleem gevonden in versies 7 en 8 van Internet Explorer. De kwetsbaarheid wordt actief misbruikt, waardoor gebruikers van de browserversies gevaar lopen.

Beveiligingsonderzoeker Eric Romang kwam het beveiligingsprobleem op het spoor tijdens een onderzoek naar een groep internetcriminelen die ook achter de recente zero day in Java zat. In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploit bleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.

Romang plaatste een video waarin hij laat zien hoe een naar zijn zeggen volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden. Overigens is in het filmpje juist een waarschuwings-icoon te zien in de taakbalk dat aangeeft dat er updates zijn die nog geïnstalleerd moeten worden. Of ook andere Windows-versies dan XP kwetsbaar zijn, is nog onbekend. Internet Explorer 7 is niet beschikbaar voor Windows 7, maar versie 8 wel. De nieuwste, niet door dit probleem getroffen IE-versie is Internet Explorer 9.

De beheerders van de Metasploit-hackerstoolkit zullen de exploit maandag toevoegen. Daarmee lopen gebruikers van de twee browsers gevaar: het enige dat nodig is om besmet te worden, is naar een website surfen die de malware serveert, al dan niet bewust. Dit staat bekend als een 'drive-by download'.

De beveiligingsonderzoeker stelt dat de groep die de zero day misbruikte, niet blij was dat hij deze op het spoor kwam: twee dagen nadat Romang de bestanden van de server downloadde, waren deze verdwenen. Volgens Security.nl zat dezelfde groep in 2011 achter aanvallen op chemische bedrijven.

Reacties (132)

Reactiefilter:-11320114+174+25+31
Moderatie-faq Wijzig weergave
Romang plaatste een video waarin hij laat zien hoe een volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden.
Ik zie in het filmpje toch echt dat de XP versie aangeeft updates te hebben, een beveiliging waarschuwing weergeeft en dat de anti virus niet up-to-date is dan wel uit staat.
Inderdaad viel mij ook al op.
Daarnaast vraag ik mij af of dit is gedaan met een lokale administrator account of met een standaard gebruikersaccount.
Windows is namelijk mits goed geconfigureerd best veilig en een groot gedeelte van de bekende exploits functioneren niet zodra je werkt met een echt gebruikersaccount (zoals bij Linux de standaard is.)
De grootste problemen van Windows worden veroorzaakt door onkunde van gebruikers en beheerders, ik ben wel benieuwd wat er gebeurt wanneer de "handige" Windows beheerders in de toekomst een ander OS gaan beheren. Linux dwingt geluk het gebruik van een non root account in de meeste gevallen af, Microsoft zou dit ook gewoon moeten doen.
Niet zo opgelet de laatste jaren? Vanaf Windows Vista dwingt Microsoft ook gewoon af dat je op een non-root account werkt.

Het zogenaamde administrator account in Vista is gewoon een non-root account. Het enige verschil tussen normale user en administrator, is dat de normale user de username en password daadwerkelijk moet intikken, en bij admin dat voor je gedaan is, en je alleen op OK hoeft te drukken. Echter, in beide gevallen moet de user dus actief reageren, om op die manier de security level tijdelijke te verhogen naar root. Een niet-interactief (malware) programma blijft gewoon op non-root level steken.

[Reactie gewijzigd door AHBdV op 17 september 2012 13:53]

Vaak wordt de UAC uitgezet en zo niet dan drukken veel eindgebruikers altijd op OK, omdat ze niet weten wanneer het wel of niet nodig is. Bij een Java update welke opeens opduikt wel op OK moet drukken en bij het bezoeken van een internet pagina niet is vaak niet uit te leggen.
Zover de theorie.............
Praktijk heb ik al wat anders meegemaakt met vista en win 7
zoals hitman pro die ondanks geen prompt gewoon in het hosts-bestand kon schrijven ed........

UAC verlaagd de rechten van de admin-gebruiker ipv het verhogen wat sudo doet.
Wat een veel grotere kans op bugs geeft.

[Reactie gewijzigd door hackerhater op 17 september 2012 14:54]

Mwah, wat er dan gebeurt is dat die sysadmins alles als root gaan draaien :p
Wel jammer dat er niet in het artikel vermeld wordt dat ook Flash nodig is om dit te laten werken.
Door Joost Schellevis,
De nieuwste, niet door dit probleem getroffen getroffen IE-versie is Internet Explorer 9.
Ik ben benieuwd wat de bron is waarop de stelling dat IE9 niet kwetsbaar zou zijn is gebaseerd.
Ik vind slechts de volgende vermelding in de genoemde bron:

"You will also see that tests are done, in order to target Windows XP 32-bit and Internet Explorer 7 or 8."
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

"The exploit was targeting Windows XP 32-bit with IE7 or IE8"
http://www.youtube.com/watch?v=_w8XCwdw5FI

Geen beschrijving of ook IE9 onderzocht is.
Geen Vista/ Win7 met IE9 bij de hand om te testen, of niet kwetsbaar?
Onduidelijk.

Alleen MrBil meldt recent, 12:59 uur op Security.nl:
"Ik heb de exploit op IE9 getest en de exploit wordt niet geactiveerd met deze versie.
Ook niet met IE8 op een Windows 7 machine."

http://www.security.nl/artikel/43105/1/Hackers_misbruiken_nieuw_IE-lek_in_het_wild.html


[wijziging: vet/ bold gebruikt ter attendering]

[Reactie gewijzigd door Stupendous Man op 17 september 2012 15:41]

Bovenstaande hackers gebruikte op dat moment de huidige exploit. Zojuist is er een nieuwe exploit uitgekomen op Metasploit zie: https://community.rapid7....lorer-0-day-in-metasploit

Met deze exploit is 'ook' IE9 te exploiten.
Ik snap het niet helemaal.
In het filmpje heeft men het continue over flash, en dat dit mogelijk is met de laatste flash versie.

Als de exploit in flash zit, wat heeft dit dan met IE te maken??
Volgens mij is het ook idd een combinatie tussen IE7/8 en Flash, en moet eigenlijk Adobe gewoon weer eens een fix uit brengen.
Dus ja, een IE7/8 gebruiker is hier kwetsbaar voor. Is het een lek in IE? Nee, het is een lek in Macromedia. Maar alleen uitvoerbaar met IE7/8 omdat de plug-in daar meer rechten heeft...

We hebben allemaal een hekel aan IE (net name web-devers), maar dit is geen IE bug als je het mij vraagt.

Tevens, zie ik toch echt in dit filmpje dat XP zegt dat er nog updates beschikbaar zijn, dus up-to-date is die machine zeker niet !!
misschien de toegankelijkheid van oudere ie browsers?
Het is idd een exploit in Flash. Echter had Microsoft toch wel iedere plug-in in een sandbox mogen laten draaien. Wat dat betreft vind ik het ook een fout in het plug-in architectuur van IE.
Des te meer reden om een veiligere browser te gaan gebruiken, zeker als je nog altijd XP draait. Al heb ik het vermoeden das MS hier niet per se wakker om ligt, omdat het "oude" versies betreft.
IE8 is de nieuwste IE versie die je op WinXP kan gebruiken.
Aangezien de support van MS op winXP nog tot 8 April 2014 loopt, moet IE8 in mijn ogen minimaal ook tot die datum support krijgen.
"oude versies" vind ik in dit geval dus beetje kort door de bocht...
(los daarvan is het natuurlijk altijd handig om een veiligere browser te gebruiken)

[Reactie gewijzigd door patje143 op 17 september 2012 11:58]

Als je naar het filmpje kijkt, dan zie je dat het gewoon een lek in Flash is, en niet in IE. Dus ik denk niet dat Microsoft hier een fix voor hoeft uit te brengen.

Ik vermoed dat deze zelfde exploit door anders browsers niet kan doordat plug-ins daar minder rechten hebben.
Tenzij ik het filmpje mis, lijkt het er verder niet op dat de executabel uitgevoerd wordt.

Maar corrigeer me als ik me vergis, want anders is het ook een lek in IE8/XP. Immers downloaden is één, executeren buiten de sandbox is twee.

Merk verder op dat virusscanners uit stonden.

Om deze aanval tegen te houden, is slechts één van deze drie zaken nodig (Flash gefixt, IE8 gefixt/niet kwetsbaar of virusscanner die exe tegenhoudt).

Ikzelf heb inmiddels Java en Flash en Adobe reader plugin al lang gedeinstaleerd van al mijn PC's. Zo goed als alle hacks komen tegenwoordig via een van deze 3 plugins.
Mwah... Denk het wel. het is wel hun naam die weer te grabbel ligt. Dus ik verwacht dat ze hier snel wat op verzinnen.
Het mogen dan wel "oudere" versies zijn, maar vooral bij veel bedrijven zullen deze nog wel redelijk veel gebruikt worden ( ook hier bij mij op kantoor ) dus hopelijk pakken ze dit wel op korte termijn op.
Het is lastig om in deze context van 'veiligere browser' te spreken, gezien het om een zero day exploit gaat (zover ik kan zien een combi van Flash en IE7/8?). Iedere browser is in potentie vatbaar voor dit soort dingen, en als je al een schuldige zou willen aanwijzen, qua veiligheid, is het Windows dat de 'gedropte' exe rücksichtslos uit gaat voeren...
ook de andere browsers zijn op dit gebied niet veilig, ook daarvoor worden, net zoals bij ie, ook zeroday beveiligingsbugs gevonden... dus als je denkt dat je ook 100% veilig bent op bv chrome, dan ben je heel HEEL erg naief...
Lekken zullen er altijd gevonden blijven worden. Zolang mensen het maar blijven melden kan misbruik op tijd tegen worden gegaan. Waar ik eigenlijk benieuwd naar ben is of er ook voorbeelden zijn van hackers die deze exploit al misbruikt hebben (op de man die in dit artikel beschreven staat na dan natuurlijk)

Wat ik mij altijd afvraag is of het wel verstandig is om zoiets zo openlijk in de media te brengen. Hoewel de mensen die dit soort lekken misbruiken er natuurlijk vaak allang van afweten. Lekker dat er ook al bekend is dat de exploit bij de eerstvolgende hackerstoolkit al beschikbaar is 8)7 ...
. Waar ik eigenlijk benieuwd naar ben is of er ook voorbeelden zijn van hackers die deze exploit al misbruikt hebben
Dat lijkt wel waarschijnlijk Unflux in 'nieuws: 'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt''

Erg grappig trouwens dat een stel hackers hun eigen server kennelijk niet goed beveiligt.

[Reactie gewijzigd door Ook al Bezet op 17 september 2012 13:31]

de Hackers worden gehack, waar gaat het heen met deze wereld ;)
Wat ik mij altijd afvraag is of het wel verstandig is om zoiets zo openlijk in de media te brengen.
Dat geeft juist meer druk bij de verantwoordelijke partijen om deze te dichten.

Ikzelf zit vaker op IRC met hackers te praten en deze exploit wordt al enige tijd aangeboden (tegen betaling), ik meen dat ik er vorige maand voor het eerst over gehoord heb.

Natuurlijk is daarna stap 2, (nadat het wat geld heeft opgeleverd) dat Metasploit deze opneemt in hun exploit-database. En dan komt stap 3 (meestal niet veel later), dat de exploit ook daadwerkelijk opgenomen wordt in de Metasploit-tool.

Dus zo gek dat het nu in de media komt is het niet, en ik vind het juist goed dat hier veel media aandacht voor komt en juist niet alleen in de underground-scene bekend blijft. Zo komt er meestal sneller een patch.

[Reactie gewijzigd door defixje op 17 september 2012 13:05]

Oke, leuk, hij download een .exe . En nu? Hoe gaat de gebruiker deze uitvoeren? Of mis ik iets?
Ik denk dat je nog even beter er in moet verdiepen :Y)
De exploit gebruikt een module waarmee de gedropte .exe automatisch uitgevoerd wordt.
Euhm, niemand opgevallen dat hij security essentials uit gezet had op die PC? Hoe zit het dan met PC van mensen die gewoon de beveiliging aan laten staan? (duh!)
De titel zegt actief misbruik maar ik lees ik nergens dat er in het wild al aanvallen mee zijn uitgevoerd.

Dus effectief klopt de titel niet.
In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploit bleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.
Het resultaat van het gebruik is wel gevonden, er zijn dus wel degelijk aanvallen uitgevoerd.
Dat hoeft geen resultaat te zijn van misbruik maar kunnen ook bestanden zijn van een developer die nieuwe malware aan het ontwikkelen is.
En daarom heet het een 0-day exploit ;)
Niets nieuws toch? Als je een oude browserversie draait, dan loop je gevaar voor exploits.
Gewoon geen oude browserversie draaien.
Zo oud is IE8 nog niet eens.
En bovendien, IE9 kan je niet gebruiken op XP

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True